任意文件上传需要getshell执行命令才有危害吗?

集思广益,任意文件上传回显文件上传路径但无法访问算不算

请先 登录 后评论

9 个回答

空城 - 安全小菜鸡

需要确认无法访问显示什么?有可能路径不对、也有可能被杀了。如果确实找不到路径、或者找到路径无法访问,那就是没什么危害了吧。可以讨论一下

请先 登录 后评论
Colorado
上传正常的图片,不是shell之类的不可以查看到路径吗,首先起码要知道到底上没上传成功,其次这个功能点到底有啥危害,大站点还是小站点。具体还是多看看人家上传之类的文章,如果还是找不到方法, 那我也不太清楚。任意文件上传是可以上传内存大,很占资源的文件的吧,理论上是可以占用人家的资源,也算是个漏洞
请先 登录 后评论
王奕

要证明有危害不一定必须getshell。也可以上传xss html文件打个存储证明危害   当然如果你是交src那肯定getshell危害更大啊

请先 登录 后评论
金蝉子
不算,如果是403无法访问的话,可能是权限不足,可以尝试../../跳跃目录,如果是404的话,可能是有waf被杀了,或者本身就不允许上传,getshell大多数用phpinfo这类打印系统环境信息的就行了
请先 登录 后评论
JOHNSON

如果能访问到那可能会被挂一些不良不法的内容,如果访问不到那可能会被上传大文件耗尽存储。是有危害的。

请先 登录 后评论
去旅游吗

也不一定,也可以上传一个xss给对方管理员。。。

请先 登录 后评论
和风
任意文件上传是指能够上传任意类型的文件,在前后端没有对上传的类型做任何的限制,这在平时的渗透测试工作中算是一个漏洞了。
请先 登录 后评论
YanXia

如果是提交到src的话,确实需要证明危害性,才会被收。但是不用getshell。只需要证明上传的文件可以被解析就好了

请先 登录 后评论
王陌少
任意文件上传getshell 整明可以上传脚本例如 phpinfo,这些
请先 登录 后评论